在去年12月的一起网络攻击中，GitHub代码签名证书被窃。

2022年12月7日，GitHub检测到GitHub规划和开发中使用的库文件被非授权访问。经过调查，GitHub认为这对github.com服务没有影响，因为并未出现非授权修改的情况。

GitHub库被非授权访问的原因是加密的代码签名证书被窃，随后，GitHub吊销了被入侵的凭证，并调查该事件对客户和内部系统的影响。发现受影响的库中并不包含任何客户数据。而证书的通过密码保护的，目前没有证据表明证书被恶意利用。

被入侵的库中保存着加密的代码签名证书。目前尚不清楚攻击者是否可以解密或使用这些证书。证书是用来验证代码是否是原作者创建的，这些证书并不会对已安装的GitHub Desktop和Atom产生影响。但如果攻击者成功解密证书，就可以用这些证书对非官方的应用签名，并假装是GitHub官方创建的。

截止12月6日有3个证书仍然是有效的：2个Windows版本 Digicert代码签名证书和1个Apple Developer ID证书。其中1个Digicert证书已在1月4日过期，另一个将在2月1日过期。过期后，证书将无法再用于代码签名。但为了预防潜在风险，GitHub将于2月2日将证书吊销。

Apple Developer ID 证书的有效期为2027年，GitHub将于2月2日将证书吊销。并将于苹果公司监控用该证书签名的新的可执行文件。

GitHub将吊销受影响的用于GitHub Desktop和 Atom的证书。证书吊销后，部分GitHub Desktop Mac版和Atom 将无法使用。

GitHub Desktop Mac以下版本将在2月2日停止服务，请更新到最新版本：

3.1.2

3.1.1

3.1.0

3.0.8

3.0.7

3.0.6

3.0.5

3.0.4

3.0.3

3.0.2

GitHub Desktop Windows版本不受影响。

以下Atom版本将于2月2日停止服务，用户需要下载之前的Atom版本：

1.63.1

1.63.0

参考及来源：https://github.blog/2023-01-30-action-needed-for-github-desktop-and-atom-users/